IKE (IPSec) Subsystem einzeln neu starten

Wie man die Neu-Aushandlung von BOVPN Tunneln (einzeln oder alle) über den Firebox System Manager erzwingen kann, dürfte allgemein bekannt sein (FSM > Front Panel > Branch Office VPN Tunnels und dann Rechtsklick auf dieser Zeile oder einem der darunter angezeigten Gateway-Einträge: “Rekey All BOVPN Tunnels” bzw. “Rekey Selected BOVPN Tunnel”). Manchmal reicht dies aber nicht aus und man möchte gerne das komplette IKE/IPSec Subsystem auf der WatchGuard neu starten, um auf diese Weise eventuell auch “quer sitzende” SA-Fragmente los zu werden, die ein einfaches Re-Keying eines BOVPN Tunnels verhindern. Natürlich kann man dazu einfach die komplette WatchGuard neu booten – das geht aber im Produktiveinsatz nicht immer ohne weiteres. Über den Kommandozeilenmodus / Command Line Interface (CLI) gibt es die Möglichkeit, nur den IKE Prozess einzeln neu zu starten und dadurch alle SAs und Fragmente restlos zurückzusetzen:

* Als “admin” per Putty/SSH an der WatchGuard anmelden
* Befehl diagnose vpn “/ike/restart” absetzen
* Mit exit wieder abmelden

Ob der iked Prozess korrekt neu gestartet hat, kann man im FSM auf der Registerkarte “Status Report” sehen. In der Prozessliste sollte für iked nun das aktualisierte Datum/Uhrzeit zu sehen sein.

2 Kommentare zu “IKE (IPSec) Subsystem einzeln neu starten”

  1. Anonym

    Der Rekey-BOVPN per FSM löst m.E. nur einen Phase2-Rekey aus. Durch "kleine" Konfig-Änderungen im BOVPN-Gateway (z.B. NAT-T an/aus) über den Policy-Manager lässt sich auch eine Phase1-Renegotiation erzwingen.

  2. Anonym

    Der Rekey-BOVPN per FSM löst m.E. nur einen Phase2-Rekey aus. Durch "kleine" Konfig-Änderungen im BOVPN-Gateway (z.B. NAT-T an/aus) über den Policy-Manager lässt sich auch eine Phase1-Renegotiation erzwingen.

Leave a Reply

Your email address will not be published. Required fields are marked *